Magazin
Aufbewahrungsfristen & Löschfristen nach DSGVO: Das müssen Unternehmen beachten

Aufbewahrungsfristen & Löschfristen nach DSGVO: Das müssen Unternehmen beachten

Letztes Update:
01
.
07
.
2025
Lesezeit:
0
Min
Welche Aufbewahrungsfristen gelten in Unternehmen für personenbezogene Daten und wann müssen sie gelöscht werden? Den Überblick über verschiedene Anforderungen aus DSGVO, HGB und Co. zu behalten, ist gerade für Unternehmen mit komplexen Datenstrukturen eine Herausforderung. Erfahren Sie, wie Sie gesetzliche Fristen und DSGVO-Vorschriften in Einklang bringen und strategisch managen.
Aufbewahrungsfristen & Löschfristen nach DSGVO: Das müssen Unternehmen beachten
Die wichtigsten Erkenntnisse
  • Personenbezogene Daten dürfen nur gespeichert werden, solange eine rechtliche Grundlage besteht.
  • Gesetzliche Aufbewahrungsfristen aus der AO oder dem HGB stellen einen berechtigten Speicherzweck dar und verschieben den Zeitpunkt der Löschung personenbezogener Daten.
  • Unternehmen müssen sicherstellen, dass ihre Lösch- und Archivierungspraxis nachvollziehbar und DSGVO-konform ist.
  • Nach Ablauf der Aufbewahrungsfrist sind Daten DSGVO-konform zu löschen oder physisch zu vernichten.
  • Ein strukturiertes, systemgestütztes Löschkonzept schafft Transparenz.

Warum Aufbewahrungs- und Löschfristen oft missverstanden werden

Immer mehr Unternehmen setzen auf datengetriebene Geschäftsmodelle und müssen dafür eine Vielzahl personenbezogener Daten verarbeiten. Doch bei der Verarbeitung und Speicherung gelten strenge Spielregeln. Denn nicht nur die Menge an Daten nimmt zu, sondern auch die Zahl der Cyberangriffe. So ist etwa eine rechtliche Grundlage erforderlich, die überhaupt rechtfertigt, dass Daten gespeichert werden. Entfällt diese Grundlage, greift das Löschgebot der Datenschutzgrundverordnung (DSGVO): Die betreffenden Daten müssen gelöscht werden.

Ganz so einfach ist es allerdings nicht, denn in der Praxis stehen diesem Grundsatz einige gesetzliche Aufbewahrungsfristen für Unternehmen entgegen, die sich unter anderem aus der Abgabenordnung (AO) oder dem Handelsgesetzbuch (HGB) ergeben. Diese setzen der Löschpflicht zeitliche Grenzen und schaffen neue Anforderungen an die Datenhaltung.  

Verantwortliche, die hier keine klaren Regeln definieren und umsetzen, riskieren Bußgelder und Reputationsverluste für ihre Organisation.

Welche Aufbewahrungsfristen für Daten in Unternehmen gelten laut DSGVO?

In der Praxis stellt sich häufig die Frage, wie lange personenbezogene Daten aufbewahrt werden dürfen, um damit etwa Geschäfte oder interne Vorgänge nachweisen zu können. Grundsätzlich erlaubt die DSGVO die Verarbeitung nur unter den in Art. 5 Abs. 1 lit. b DSGVO benannten Bedingungen: So dürfen Daten nur für eindeutige Zwecke verarbeitet werden und nur, solange diese Zwecke bestehen. Die DSGVO-Speicherfrist endet mit Wegfall der Rechtsgrundlage.

Gleichzeitig müssen Organisationen sich an gesetzliche Aufbewahrungsfristen halten, wenn es etwa um Personalakten, Steuerunterlagen oder Geschäftsberichte geht. Diese Fristen schaffen eine neue, eigenständige Zweckbindung. Die Aufbewahrungsfristen treten also an die Stelle der DSGVO-Zweckbindung: Solange eine gesetzliche Aufbewahrungspflicht besteht, ist die Speicherung personenbezogener Daten weiterhin zulässig, auch wenn der eigentliche Verarbeitungszweck bereits erfüllt ist. Sind jedoch auch diese Fristen abgelaufen, müssen die Daten endgültig gelöscht oder datenschutzkonform vernichtet werden.

Welche Rechtsgrundlagen bestimmen neben der DSGVO die Aufbewahrungsdauer von Unterlagen und Daten?

Die gesetzlichen Aufbewahrungsfristen ergeben sich aus verschiedenen Vorschriften wie  

  • der AO,  
  • dem HGB,  
  • dem Einkommensteuergesetz (EStG) oder
  • dem Telemediengesetz (TMG).  

Diese Rechtsgrundlagen gelten unabhängig davon, ob Daten in Papierform oder digital gespeichert sind.

Achtung, Stolperfalle: Nach Art. 13 und Art. 14 DSGVO müssen Unternehmen in der Datenschutzerklärung auf ihrer Website auf die geltenden Aufbewahrungsfristen für Nutzerdaten hinweisen. Wer diese Informationspflicht missachtet, riskiert ebenfalls Bußgelder.

Welche Rolle spielen die GoBD?

Im Zusammenhang mit steuerlich relevanten Unterlagen gelten zusätzlich die Vorgaben der GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff). Allerdings betreffen diese Vorgaben keine Fristen, sondern sie regeln lediglich, wie Daten aufzubewahren sind, während eine Aufbewahrungspflicht besteht.

Aktuelle Aufbewahrungsfristen für Dokumente im Überblick (Stand 2025)

Eine einheitliche Regelung für Aufbewahrungsfristen in Unternehmen gibt es nicht. Denn je nach Dokument und Vorschrift gilt eine andere Aufbewahrungsdauer. Die IHK stellt regelmäßig aktualisierte Übersichten zur Verfügung. Verantwortliche können darüber hinaus ihre Steuerberatung um eine individuelle Einschätzung bitten.

Im Folgenden fassen wir einige Aufbewahrungsfristen für typische Unternehmensdokumente zusammen, die in der Regel personenbezogene Daten enthalten.  

| Aufbewahrungsfrist | Dokumentart | | :--- | :--- | | **5 Jahre** | Arbeitsunfähigkeitsbescheinigung | | **6 Jahre** | Abtretungserklärungen, Schriftwechsel, Preislisten, Lieferscheine, Kassenzettel (soweit keine Buchungsbelege) | | **10 Jahre** | Erhöhtes Vertrauensniveau, Handelsbücher, Geschäftsberichte, Abrechnungsbelege, Ausgangsrechnungen, Buchungsbelege, Jahresabschluss mit Erläuterungen, Angestelltenversicherung, Bankbelege, Betriebskostenrechnungen, Bewirtungsunterlagen, Dauerauftragsunterlagen (nach Ablauf des Auftrags), Exportunterlagen, Fahrtkostenerstattungsunterlagen, Kassenberichte, Kontoauszüge, Mietunterlagen, Lohnbelege, Prozessakten, Quittungen, Zahlungsanweisungen, Zwischenbilanz |

Die konkreten Anforderungen an die Aufbewahrungsform ergeben sich aus den jeweils einschlägigen Gesetzen. Für die Dauer der Aufbewahrung gilt jedoch: Dokumente müssen unabhängig von ihrer Aufbewahrungsform jederzeit lesbar, vollständig und zugänglich sein.  

Daten löschen oder aufbewahren: Was passiert nach Fristablauf?

Nach Ablauf der gesetzlichen Aufbewahrungsfrist endet auch die rechtliche Grundlage für die Speicherung der betroffenen Daten. Diese müssen nun gelöscht oder datenschutzkonform vernichtet werden. Dabei spielt es keine Rolle, ob die Daten analog oder digital vorliegen und wie die Daten vernichtet werden. Entscheidend ist, dass sie vollständig, nachvollziehbar und sicher entfernt werden.

Elektronische Daten können zum Beispiel überschrieben und Papiere geschreddert werden. Allerdings verlangt die DSGVO, dass gerade personenbezogene oder sensible Daten so gut vernichtet werden müssen, dass keine andere Person sie noch lesen kann. Eine Orientierung hinsichtlich der datenschutzgerechten Datenträgervernichtung bietet die DIN 66399.

Die Maßnahmen und der Zeitpunkt der Löschung sollten dokumentiert werden. Um sicherzugehen, dass Sie den Prozess der Vernichtung datenschutzkonform und zum richtigen Zeitpunkt durchführen und ihn sauber dokumentieren, hilft ein strukturiertes Löschkonzept, die Übersicht zu behalten.

In unserem Blog erfahren Sie mehr über das Löschkonzept und was darin nicht fehlen darf.

Was ist bei Datenvernichtung durch Dienstleister zu beachten?

Bei der Datenvernichtung können Unternehmen auf externe Dienstleister zurückgreifen. Allerdings müssen sie dafür einen schriftlichen Auftragsverarbeitungsvertrag (AV-Vertrag) abschließen, da es sich in diesem Fall um eine Auftragsverarbeitung im Sinne des Art. 28 DSGVO handelt.  

Fazit: Aufbewahrungs- und Löschfristen richtig managen

Die DSGVO verpflichtet Unternehmen, personenbezogene Daten nur so lange zu speichern, wie ein klar definierter Zweck besteht. Sobald dieser entfällt, beginnt die Löschfrist – es sei denn, gesetzliche Aufbewahrungsfristen stehen dem entgegen. Gerade für datenintensive Unternehmen wird das Managen von Fristen, das Dokumentieren von korrekten Speicherfristen und die Umsetzung von Löschprozesse schnell zu einer Herausforderung.

Ein strukturiertes Löschkonzept sorgt für Klarheit und Rechtskonformität. Vor allem, wenn externe Datenschutzbeauftragte bei der Erarbeitung eines solchen Konzepts unterstützen. Mit ihrer Erfahrung und dem Wissen über verschiedene Dokumenten- und Datenarten übersetzen sie die Anforderungen der DSGVO mühelos in die Praxis von Unternehmen. Dadurch ist jederzeit klar,  

  • welche Datenschutz-Aufbewahrungsfristen gelten und  
  • welche Prozesse für die Einhaltung von gesetzlichen Aufbewahrungs- und Löschpflichten notwendig sind.  

Noch effizienter gelingt die Aufbewahrung von Daten mit Softwarelösungen, die DSGVO-Aufbewahrungsfristen automatisch berücksichtigen und Fristen überwachen.  

Häufige Fragen und Antworten zu Aufbewahrungsfristen

Was sind Aufbewahrungsfristen laut DSGVO?

Die DSGVO selbst definiert keine konkreten Fristen. Allerdings stellt sie mit dem Prinzip der Speicherbegrenzung sicher, dass Daten nur so lange aufbewahrt werden, wie sie für den jeweiligen Zweck erforderlich sind. Gesetzliche Aufbewahrungspflichten aus dem Steuer- oder Handelsrecht gelten jedoch als berechtigter Grund für eine längere Speicherung. In diesen Fällen verschiebt sich die Löschfrist entsprechend.

Wie sollten Dokumente aufbewahrt werden?

Unabhängig davon, ob analog oder digital: Geschäftsunterlagen müssen jederzeit abrufbar, lesbar, vollständig, unveränderbar und nachvollziehbar sein. Die Anforderungen an eine revisionssichere Archivierung ergeben sich insbesondere aus der GoBD. Eine bloße Ablage ohne Zugriffskontrolle oder Nachvollziehbarkeit reicht nicht aus.

Was passiert, wenn die Aufbewahrungsfrist abgelaufen ist?

Sobald die Frist endet, entfällt auch der legitime Speicherzweck. Damit beginnt die Löschfrist gemäß DSGVO, und die Daten müssen gelöscht oder im Fall physischer Unterlagen datenschutzkonform vernichtet werden, sodass keine andere Person sie mehr lesen kann. Für personenbezogene Daten gelten hierbei die Anforderungen der DSGVO. Wird ein externer Dienstleister mit der Vernichtung beauftragt, muss ein schriftlicher Auftragsverarbeitungsvertrag nach Art. 28 DSGVO geschlossen werden. Ein professionelles Löschkonzept hilft Unternehmen, Fristen zuverlässig einzuhalten und Risiken zu vermeiden.

Keine Zeit für Datenschutz?

Sie können oder möchten die Zeit nicht in Datenschutz investieren? Dann lassen Sie sich von unseren ExpertInnen unterstützen! 

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Jetzt beraten lassen
Themen
Datenlöschung
Verstoß gegen Datenschutz
DSGVO
Redaktion
Sabrina Schaub
Freie Redakteurin
Mit ihrer Content-Erfahrung unterstützt Sabrina das Team von datenschutzexperte.de dabei, komplexe Themen verständlich zu kommunizieren. Als freie Autorin kennt sie die Datenschutzbedürfnisse unterschiedlicher Branchen und übersetzt selbst anspruchsvolle Informationen in zielgruppengerechte Inhalte.
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
In diesem Beitrag
Example Link H2
Example Link H3
Example Link H4
Example Link H5
Example Link H6
Beitrag teilen
Sie haben noch Fragen? Wir sind gerne für Sie da.
Jetzt beraten lassen
Verwandte Artikel

Ähnliche Themen, die Sie auch interessieren könnten

Datenschutz bei Krankheit von Kollegen: Das müssen Unternehmen bei der Krankmeldung wissen
03
.
02
.
2023
Datenschutz bei Krankheit von Kollegen: Das müssen Unternehmen bei der Krankmeldung wissen
Krankheitsbedingte Ausfälle in Unternehmen sind nichts Ungewöhnliches. Um mit den sensiblen Gesundheitsdaten von Mitarbeiter:innen gesetzeskonform umzugehen, sollten Sie folgende Hinweise beachten.
Datenschutz im Mittelstand
15
.
03
.
2022
Datenschutz im Mittelstand
Genauso wie große Unternehmen müssen sich auch kleine und mittelständische Unternehmen (KMU) an die datenschutzrechtlichen Vorgaben der DSGVO halten. Was logisch klingt, ist in der Praxis mit einigen Herausforderungen verbunden, wenn es an die Umsetzung geht. Damit Sie gleich zu Beginn über die typischen Hürden Bescheid wissen, fassen wir diese und auch die wesentlichen Anforderungen zum Datenschutz im Mittelstand für Sie zusammen.
DSGVO und Führungszeugnis: Ein interessantes Zusammenspiel
14
.
02
.
2023
DSGVO und Führungszeugnis: Ein interessantes Zusammenspiel
Vielleicht wurden Sie auch schon mal im Zuge einer Bewerbung für einen Job oder ein Ehrenamt aufgefordert, ein Führungszeugnis vorzulegen. Dieses zu beantragen und die persönlichen Daten völlig Fremden auszuhändigen, kann ein mulmiges Gefühl hervorrufen, selbst wenn man weiß, dass man noch nie eine Straftat begangen hat – oder zumindest nie erwischt wurde. Wie die DSGVO bei Führungszeugnissen greift.
Datenschutz beim Betriebsarzt: Was darf der Betriebsarzt dem Arbeitgeber mitteilen?
14
.
02
.
2023
Datenschutz beim Betriebsarzt: Was darf der Betriebsarzt dem Arbeitgeber mitteilen?
Viele Arbeitnehmer machen sich Sorgen, ehrlich gegenüber dem Betriebsarzt zu sein. Welche Informationen darf er an den Arbeitgeber weitergeben? Wir klären auf.
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

KI-Compliance im Unternehmen: Antworten auf die häufigsten Praxisfragen
03
.
07
.
2025
KI-Compliance im Unternehmen: Antworten auf die häufigsten Praxisfragen
Mit dem AI Act schafft die EU erstmals verbindliche Regeln für den Einsatz von Künstlicher Intelligenz. Unternehmen in nahezu allen Branchen müssen jetzt handeln: Ob durch Microsoft 365 Copilot, DeepL, ChatGPT oder interne KI-Projekte – der Einsatz von KI ist längst Realität. Aber wie setzen Sie die neuen Anforderungen rechtskonform und praxisnah um? In diesem Beitrag beantworten wir die wichtigsten Fragen, die Datenschutz-, Compliance- und IT-Verantwortliche derzeit bewegen – strukturiert, verständlich und mit klaren Empfehlungen.
Business Continuity Management: So läuft Ihr Business auch im Ernstfall erfolgreich weiter
02
.
07
.
2025
Business Continuity Management: So läuft Ihr Business auch im Ernstfall erfolgreich weiter
Damit Ihr Unternehmen im Krisenfall nicht stillsteht, sollten Sie so früh wie möglich einen Notfallplan ausarbeiten. Das BCM (Business Continuity Management) unterstützt Sie dabei. Dieser Artikel beleuchtet Vorteile und rechtliche Aspekte und zeigt, warum ein BCM-System vor allem für KMU unverzichtbar ist.
IT-Sicherheitskonzept erstellen: Ein Leitfaden für Unternehmen
01
.
07
.
2025
IT-Sicherheitskonzept erstellen: Ein Leitfaden für Unternehmen
Mit einem IT-Sicherheitskonzept verbessern Unternehmen den Schutz ihrer IT-Systeme und verhindern, dass sensible Daten durch Ausfälle oder Angriffe in falsche Hände geraten. Erfahren Sie alles über die Anforderungen an ein solches Konzept und wie Sie ein IT-Sicherheitskonzept für Ihr Unternehmen erstellen.
ISO 27001-Checkliste für Unternehmen: Der kompakte Leitfaden zur Zertifizierungsvorbereitung
30
.
06
.
2025
ISO 27001-Checkliste für Unternehmen: Der kompakte Leitfaden zur Zertifizierungsvorbereitung
Informationssicherheit ist heute kein Nice-to-have mehr – sondern Voraussetzung für Vertrauen und Geschäftskontinuität. Die ISO/IEC 27001-Zertifizierung ist der weltweit anerkannte Standard, um genau das systematisch abzusichern. Eine strukturierte Vorbereitung mit einer ISO 27001-Checkliste ist dabei unerlässlich – sie bringt Ordnung, Überblick und Klarheit in ein oft komplexes Vorhaben. In diesem Beitrag erhalten Sie eine verständliche Einführung in die ISO 27001, eine praxisnahe Checkliste für Ihre Zertifizierungsvorbereitung, sowie Zugang zu einer kostenlosen PDF-Checkliste inkl. Fragenkatalog.
datenschutz-Muster

Kostenlose Materialien zum Thema

Datenschutzerklärung für Bewerber
Erfüllen Sie die DSGVO-Datenschutzpflicht für Bewerber mit unserer Vorlage einfach & sicher.
Auftrags­verarbeitungsvertrag (AV-Vertrag)
Erstellen Sie mit unserem kostenlosen Muster einen DSGVO-konformen Auftragsverarbeitungsvertrag.
Einwilligungserklärung: Kostenloses Muster
Nutzen Sie unsere kostenlose Vorlage für eine Einwilligungserklärung zur Erhebung personenbezogener Daten.
Datenschutzerklärung Vorlage & Muster
Nutzen Sie unsere kostenlose Datenschutzerklärung Vorlage und setzen Sie die DSGVO sicher um.
Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!